क्या $1.4B बायबिट हैक लापरवाही के कारण हुआ?

हाल का बायबिट हैक, जिसके कारण 100 से अधिक की चोरी हुई ईथर में 1.4 बिलियन डॉलर, ने पूर्व बिनेंस सीईओ के साथ विवाद को जन्म दिया है चांगपेंग झाओ (CZ) आलोचना करते हुए पोस्टमार्टम रिपोर्ट द्वारा जारी सुरक्षित {वॉलेट}सीजेड ने रिपोर्ट को इस प्रकार लेबल किया अस्पष्ट और अधूराइसमें कहा गया कि यह उल्लंघन कैसे हुआ, इस बारे में स्पष्ट उत्तर देने में विफल रहा।

RSI लाजर समूहमाना जाता है कि कुख्यात उत्तर कोरियाई हैकिंग समूह ने इस हमले की योजना बनाई है। एक सुरक्षित डेवलपर की मशीन से समझौता करनाहैकर्स ने डाला दुर्भावनापूर्ण जावास्क्रिप्ट कोड सेफवॉलेट के अमेज़न वेब सर्विसेज (AWS) इंफ्रास्ट्रक्चर में घुसपैठ की, और बायबिट के हस्ताक्षरकर्ताओं को धोखे से धोखाधड़ीपूर्ण लेनदेन को मंजूरी दे दी।

सेफ के निष्कर्ष: रिपोर्ट क्या कहती है

सेफ की फोरेंसिक रिपोर्ट ने निष्कर्ष निकाला कि हैक को एक के माध्यम से अंजाम दिया गया था समझौता डेवलपर मशीन, जिससे हमलावरों को एक प्रस्तुत करने की अनुमति मिलती है दुर्भावनापूर्ण लेनदेन प्रस्तावहालांकि, रिपोर्ट में कहा गया है कि हमला सेफ के स्मार्ट कॉन्ट्रैक्ट या फ्रंटएंड सेवाओं में कमजोरियों के कारण नहीं.

सेफ की रिपोर्ट से मुख्य बातें:

• इस हमले का लक्ष्य बायबिट का सुरक्षित वॉलेट जीवन सुरक्षित डेवलपर मशीन से समझौता.
• एक दुर्भावनापूर्ण लेनदेन प्रस्तुत किया गया, जिससे बायबिट के वॉलेट से धन की निकासी हो गई।
• बाहरी ऑडिट में पाया गया सेफ के स्मार्ट कॉन्ट्रैक्ट या सोर्स कोड में कोई खामी नहीं है.
• तिजोरी है अपने बुनियादी ढांचे को पुनः कॉन्फ़िगर किया, क्रेडेंशियल्स को घुमाया, और सुरक्षा को बढ़ाया.
• उपयोगकर्ताओं से व्यायाम करने का आग्रह किया जाता है लेनदेन पर हस्ताक्षर करते समय सावधानी.

इन उपायों के बावजूद, सीजेड आश्वस्त नहीं था और सेफ के स्पष्टीकरण के बारे में कई चिंताएं जताईं।

सीजेड की आलोचना: उत्तरों से ज़्यादा सवाल

CZ खुलकर आलोचना की रिपोर्ट में दावा किया गया है कि मुख्य विवरणों को नजरअंदाज कर दिया गया और कई महत्वपूर्ण सवालों के जवाब नहीं दिए। एक विस्तृत जवाब में, उन्होंने कई बातों की ओर इशारा किया रिपोर्ट के निष्कर्षों में अंतराल:

• "सुरक्षित डेवलपर मशीन से समझौता" का क्या अर्थ है?

  सीजेड ने सवाल किया कि हैकरों को इस मशीन तक पहुंच कैसे मिली - क्या यह सोशल इंजीनियरिंग, मैलवेयर, या कोई अन्य शोषण?

• डेवलपर की मशीन को बायबिट के खाते तक कैसे पहुंच मिली?

  क्या समझौता किए गए मशीन से उत्पादन तक तैनात कोड?

• हैकर्स ने एकाधिक हस्ताक्षरकर्ताओं पर लेजर सत्यापन चरण को कैसे दरकिनार कर दिया?

  आशाजनक परियोजनाओं की खोज करें...

  आशाजनक परियोजनाएं...

  (विज्ञापन)

  

  लेख जारी है...

  क्या हस्ताक्षरकर्ता थे? ब्लाइंड-साइनिंग लेनदेनया लेजर की सुरक्षा को नजरअंदाज किया गया था?

• बायबिट वॉलेट को विशेष रूप से क्यों लक्षित किया गया?

  यदि बायबिट का वॉलेट आयोजित किया गया 1.4 $ अरबतो फिर हैकर्स ने अन्य वॉलेट्स को निशाना क्यों नहीं बनाया?

• अन्य स्व-संरक्षण बहु-हस्ताक्षर वॉलेट प्रदाता क्या सबक सीख सकते हैं?

  सीजेड ने आह्वान किया अधिक पारदर्शिता और मजबूत सुरक्षा प्रोटोकॉल इसी तरह के हमलों को रोकने के लिए।

सेफ के सह-संस्थापक का जवाब

सीजेड की आलोचना के जवाब में, मार्टिन कोप्पेलमैनके सह-संस्थापक हैं ग्नोसिस ब्लॉकचेन नेटवर्क (जिसने सेफ विकसित किया), प्रयास किया उन्होंने हमले पर स्पष्टीकरण देने के लिए कहा:

• RSI इंटरफ़ेस से समझौता किया गया था, नहीं है सुरक्षित कोड ही.

• हैकर्स इंटरफ़ेस को संशोधित किया बायबिट को धोखा देकर धोखाधड़ीपूर्ण लेनदेन पर हस्ताक्षर करने के लिए प्रेरित करना।

• यह दुर्भावनापूर्ण हमला था विशेष रूप से डिजाइन किया गया बायबिट के सुरक्षित वॉलेट को लक्ष्य करने के लिए।

भविष्य की घटनाओं को रोकने के लिए, कोप्पेलमैन ने प्रस्तावित किया सुधारजिनमें शामिल हैं:

• हार्डवेयर उपकरणों पर लेनदेन सत्यापन को बढ़ाना.

• सेफनेट का परिचय, सुरक्षा की एक अतिरिक्त परत जोड़ने के लिए एक पेशेवर सह-हस्ताक्षर सेवा।

• एकाधिक सुरक्षित इंटरफेस के उपयोग को प्रोत्साहित करना एकल पहुँच बिंदु पर निर्भरता को कम करने के लिए।

सिग्निया और वेरिचेन्स: उनकी जांच से क्या पता चला

स्वतंत्र फोरेंसिक विश्लेषण प्राप्त करने के लिए, बायबिट सिग्निया और वेरिचेन्स को काम पर रखादो प्रमुख ब्लॉकचेन सुरक्षा फर्मों ने अपनी जांच में निष्कर्ष निकाला कि मूल कारण सेफ के बुनियादी ढांचे में दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्शन था.

सिग्निया और वेरिचेन्स से प्राप्त मुख्य निष्कर्ष:

• दुर्भावनापूर्ण जावास्क्रिप्ट फ़ाइल को पेश किया गया था फ़रवरी 19.

• कोड विशेष रूप से बायबिट को लक्षित किया गया Ethereum मल्टीसिग कोल्ड वॉलेट.

• हमलावरों ने सोशल इंजीनियरिंग सेफवॉलेट के AWS बुनियादी ढांचे तक पहुंच प्राप्त करने के लिए।

• दोनों फर्मों ने सिफारिश की आगे की जांच उल्लंघन की पूर्ण सीमा की पुष्टि करने के लिए।

बायबिट की प्रतिक्रिया: उपयोगकर्ताओं की सुरक्षा के लिए त्वरित कार्रवाई

भारी नुकसान के बावजूद, बायबिट पुनःपूर्ति किए गए उपयोगकर्ता धन और न्यूनतम डाउनटाइम के साथ निरंतर संचालननिकासी की मांगों को पूरा करने के लिए, बायबिट बिटगेट से 40,000 ETH उधार लिए, जो अब चुका दिया गया है।

बायबिट हैक अब है क्रिप्टो इतिहास के सबसे बड़े कारनामों में से एक, को पार करते हुए 2022 रोनिन नेटवर्क हैक और 2021 पॉली नेटवर्क हमलालाजरस समूह ने पहले चुराए गए अरबों विभिन्न क्रिप्टो प्लेटफार्मों से, अक्सर उपयोग करते हुए याद आती है चोरी की गई धनराशि को सफेद करना.

यह घटना इस पर प्रकाश डालती है क्रिप्टो सुरक्षा में चल रही कमजोरियाँ, खास करके स्व-संरक्षण और बहु-हस्ताक्षर वाले वॉलेटजैसा कि सीजेड ने बताया, उद्योग को इन असफलताओं से सीखें और लागू करें मजबूत सुरक्षा उपाय भविष्य में होने वाले हमलों को रोकने के लिए।

इस बीच, अन्य क्रिप्टो प्लेटफ़ॉर्म पर भी हमले हो रहे हैं। हाल ही में, हांगकांग स्थित क्रिप्टो उद्यमी जो झोउ ने बिनेंस से जुड़े एक घोटाले की कोशिश की सूचना दी, जिसमें हैकर्स ने उन्हें एक धोखाधड़ी वाले वॉलेट में धनराशि स्थानांतरित करने के लिए उकसाने की कोशिश की।